Cloud Armor Enterprise 개요

Google Cloud Armor Enterprise는 DDoS 공격과 인터넷의 기타 위협으로부터 웹 애플리케이션과 서비스를 보호하는 데 유용한 관리형 애플리케이션 보호 서비스입니다. Cloud Armor Enterprise는 Google Cloud, 온프레미스 또는 기타 인프라 제공업체에 배포된 애플리케이션을 보호합니다.

Google Cloud Armor Standard 및 Cloud Armor Enterprise의 비교

Google Cloud Armor는 Standard 및 Cloud Armor Enterprise의 두 가지 서비스 등급으로 제공됩니다.

  • Google Cloud Armor 표준에서 제공하는 서비스:

    • 사용한 만큼만 지불하는 가격 책정 모델
    • 전역 및 리전에 부하가 분산된 인프라에서 볼륨 및 프로토콜 기반 DDoS 공격으로부터 상시 보호
    • OWASP 상위 10개 보호에 대한 사전 구성된 WAF 규칙을 포함한 Google Cloud Armor 웹 애플리케이션 방화벽(WAF) 규칙 기능 액세스

  • Cloud Armor Enterprise에서 제공하는 서비스:

외부 애플리케이션 부하 분산기 또는 외부 프록시 네트워크 부하 분산기가 포함된 모든 Google Cloud 프로젝트는 Google Cloud Armor Standard에 자동으로 등록됩니다. 결제 계정 수준에서 Cloud Armor Enterprise를 구독한 사용자는 Cloud Armor Enterprise의 결제 계정에 연결된 개별 프로젝트를 등록할 수 있습니다.

다음 표에는 두 가지 서비스 등급이 요약되어 있습니다.

Google Cloud Armor 표준 Cloud Armor Enterprise
종량제 연간
결제 방법 사용한 만큼만 지불 사용한 만큼만 지불 12개월 약정 구독
가격 책정 정책별, 요청별, 규칙별(가격 책정 참조)
  • 프로젝트당 월 $200
  • 첫 2개 리소스 이후 보호된 리소스당 월 $200
  • 결제 계정당 월 $3,000
  • 첫 100개 리소스 이후 보호된 리소스당 월 $30
DDoS 공격 보호
  • 외부 애플리케이션 부하 분산기
  • 외부 프록시 네트워크 부하 분산기
  • 외부 애플리케이션 부하 분산기
  • 외부 프록시 네트워크 부하 분산기
  • 외부 패스 스루 네트워크 부하 분산기
  • 프로토콜 전달
  • 공개 IP 주소(VM)
고급 네트워크 DDoS 보호 아니요
네트워크 에지 보안 정책 No
Google Cloud Armor WAF 정책별, 요청별, 규칙별(가격 책정 참조) 종량제에 포함 연간에 포함
리소스 한도 최대 할당량 한도 최대 할당량 한도 최대 할당량 한도
시간 약정 해당 사항 없음 해당 사항 없음 1년
명명된 IP 주소 목록
Threat Intelligence
Adaptive Protection 알림 전용
DDoS 공격 가시성 해당 사항 없음
DDoS 응답 지원 해당 사항 없음 (프리미엄 지원 포함)
DDoS 청구 보호 해당 사항 없음

Cloud Armor Enterprise 구독

Cloud Armor Enterprise의 추가 서비스와 기능을 사용하려면 먼저 Cloud Armor Enterprise에 등록해야 합니다. Cloud Armor Enterprise 연간을 구독하고 개별 프로젝트를 등록하거나 Cloud Armor Enterprise 종량제에서 직접 프로젝트를 등록할 수 있습니다.

활성화에 최대 24시간이 걸릴 수 있으므로 최대한 빨리 Cloud Armor Enterprise에서 프로젝트를 등록하는 것이 좋습니다.

외부 애플리케이션 부하 분산기 및 외부 프록시 네트워크 부하 분산기.

프로젝트를 Cloud Armor Enterprise에 등록하면 프로젝트 내의 전달 규칙이 등록에 추가됩니다. 또한 모든 백엔드 서비스와 백엔드 버킷은 보호된 리소스로 계산되고 Cloud Armor Enterprise 보호 리소스 비용에 대해 측정됩니다. Cloud Armor Enterprise 연간의 백엔드 서비스와 백엔드 버킷은 결제 계정에 등록된 모든 프로젝트에서 집계되며, Cloud Armor Enterprise 종량제의 백엔드 서비스와 백엔드 버킷은 프로젝트 내에서 집계됩니다.

외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소(VM)

Google Cloud Armor는 DDoS 공격으로부터 위와 같은 엔드포인트를 보호하기 위해 다음 옵션을 제공합니다.

  • 표준 네트워크 DDoS 보호: 외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소가 있는 VM에 대한 상시 사용 설정되는 기본 보호 기능입니다. 여기에는 전달 규칙 시행 및 자동 비율 제한이 포함됩니다. 여기에는 Google Cloud Armor 표준이 적용되며 추가 구독이 필요하지 않습니다.
  • 고급 네트워크 DDoS 보호: Cloud Armor Enterprise 구독자를 위한 추가 보호 기능입니다. 고급 네트워크 DDoS 보호는 리전별 기준에 따라 구성됩니다. 특정 리전에 대해 사용 설정된 경우 Google Cloud Armor는 해당 리전에서 외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소가 있는 VM에 대해 상시 사용 설정된 볼륨 공격 감지 및 타겟팅된 완화 기능을 제공합니다.

DDoS 응답 지원

Google Cloud Armor Enterprise DDoS 응답 지원을 사용하려면 프로젝트를 Cloud Armor Enterprise 연간에 등록해야 합니다. 응답 지원은 모든 Google 서비스를 보호하는 동일한 팀의 DDoS 공격에 대한 연중무휴 지원과 잠재적 커스텀 완화 조치를 제공합니다. 공격 완화에 도움이 되도록 공격 중에 응답 지원에 참여하거나 향후 대규모 또는 잠재적인 바이럴 이벤트(평소보다 많은 방문자를 공격할 수 있는 이벤트)를 대비하기 위해 미리 연락을 취할 수 있습니다.

DDoS 응답 지원 이용

다음 기준을 충족해야 케이스를 열고 Google Cloud Armor DDoS 응답 지원팀의 지원을 받을 수 있습니다.

  • 결제 계정에 활성 상태의 Cloud Armor Enterprise 연간 구독이 있습니다.
  • 결제 계정에 Cloud Customer Care에 대한 프리미엄 계정이 있습니다.
  • 공격을 받는 워크로드가 있는 Google Cloud 프로젝트가 Cloud Armor Enterprise 연간에 등록되어 있습니다.
    • 교차 프로젝트 서비스 참조를 사용하는 경우 프런트엔드 및 백엔드 서비스 프로젝트 모두 Cloud Armor Enterprise 연간에 등록되어야 합니다.

DDoS 응답 지원을 이용하려면 DDoS 응답 지원 케이스 열기를 참조하세요.

DDoS 청구 보호

Google Cloud Armor DDoS 청구 보호를 사용하려면 프로젝트를 Cloud Armor Enterprise 연간에 등록해야 합니다. 확인된 DDos 공격으로 인해 발생한 Cloud Load Balancing, Google Cloud Armor, 네트워크 인터넷, 리전 간 및 영역 간 아웃바운드 데이터 전송의 청구 증가에 사용할 수 있는 향후 Google Cloud 사용량 크레딧을 제공합니다. 클레임이 인식되고 크레딧이 제공된 경우 크레딧을 사용하여 기존 사용량을 상쇄할 수 없으며 크레딧은 향후 사용량에만 적용될 수 있습니다. 다음 표에는 DDos 청구 보호가 적용되는 리소스를 보여줍니다.

엔드포인트 유형 적용되는 사용량 증가
  • 외부 애플리케이션 부하 분산기
  • 외부 프록시 네트워크 부하 분산기
 Google Cloud Armor Cloud Armor Enterprise 데이터 처리 수수료
네트워크 아웃바운드 데이터 전송
리전 간
영역 간
이동통신사 피어링
부하 분산기 인바운드 데이터 처리 수수료
아웃바운드 데이터 처리 수수료
  • 외부 패스 스루 네트워크 부하 분산기
  • 프로토콜 전달
  • 공개 IP 주소(VM)
 Google Cloud Armor Cloud Armor Enterprise 데이터 처리 수수료
네트워크 아웃바운드 데이터 전송
리전 간
영역 간
이동통신사 피어링
부하 분산기 인바운드 데이터 처리 수수료
아웃바운드 데이터 처리 수수료

DDoS 청구 보호에 참여하려면 DDoS 청구 보호 참여를 참조하세요.

Cloud Armor Enterprise에서 다운그레이드

Cloud Armor Enterprise에서 프로젝트를 삭제하면 Cloud Armor Enterprise 전용 기능(고급 규칙)의 규칙을 사용하는 모든 보안 정책이 정지됩니다. 정지된 보안 정책에는 다음과 같은 속성이 있습니다.

  • Google Cloud Armor는 고급 규칙을 포함한 정책의 규칙에 따라 트래픽을 계속 평가합니다.
  • 새 대상에 보안 정책을 연결할 수 없습니다.
  • 보안 정책에서는 다음 작업만 수행할 수 있습니다.
    • 보안 정책 규칙을 삭제할 수 있습니다.
    • 규칙 우선순위를 변경하지 않으면 고급 규칙을 업데이트하여 더 이상 Cloud Armor Enterprise 전용 기능을 사용하지 않도록 할 수 있습니다. 이러한 방식으로 모든 고급 규칙을 수정하면 정책이 더 이상 정지되지 않습니다. 보안 정책 규칙 업데이트에 대한 자세한 내용은 보안 정책의 단일 규칙 업데이트를 참조하세요.

또한 Cloud Armor Enterprise 연간 또는 Cloud Armor Enterprise 종량제에 재등록하여 정지된 보안 정책에 대한 액세스를 복원할 수도 있습니다.

고급 네트워크 DDoS 보호

고급 네트워크 DDoS 보호는 Cloud Armor Enterprise에 등록된 프로젝트에서만 사용할 수 있습니다. Cloud Armor Enterprise에서 활성 고급 네트워크 DDoS 정책이 있는 프로젝트를 삭제해도 Cloud Armor Enterprise 가격 책정에 따라 기능에 대한 요금이 계속 청구됩니다.

Cloud Armor Enterprise에서 프로젝트를 등록 해제하기 전에 모든 고급 네트워크 DDoS 보호 규칙을 삭제하는 것이 좋지만 다운그레이드한 후 고급 네트워크 DDoS 보호 규칙을 삭제할 수도 있습니다.

약관 및 제한사항

Cloud Armor Enterprise의 약관 및 제한사항은 다음과 같습니다.

  • 일반적으로 Cloud Armor Enterprise에 등록된 프로젝트가 보호 대상 엔드포인트에서 서드 파티 서비스 거부 공격('적용 대상 공격')을 받거나 다음 섹션에 설명된 조건이 충족되면 Google은 발생한 적용 수수료가 최소 기준을 초과하는 경우 적용 수수료에 상응하는 크레딧을 제공합니다. 고객이나 고객을 대신하여 수행한 부하 테스트 및 보안 평가는 적용 대상 공격이 아닙니다.
  • 조건: 고객은 적용 대상 공격이 종료된 후 30일 이내에 Cloud Billing 지원팀에 요청을 제출해야 합니다. 요청에는 공격 시점과 공격을 당한 프로젝트 및 리소스를 나타내는 로그 또는 기타 원격 분석, 발생한 적용 수수료 추정치와 같은 적용 대상 공격의 증거가 포함되어야 합니다. Google은 크레딧 지불 기한과 적절한 금액을 합리적인 방식으로 결정합니다. 특정 Google Cloud Armor 기능에 대한 다른 조건은 문서에 포함되어 있습니다.
  • 크레딧: 이 섹션과 관련하여 고객에게 제공되는 크레딧에는 현금 가치가 없으며 서비스의 향후 요금을 상쇄하는 경우에만 크레딧을 적용할 수 있습니다. 이러한 크레딧은 발급일로부터 12개월 또는 계약이 해지되거나 만료되면 만료됩니다.
  • 정의:
    • 적용 수수료: 다음에 대한 적용 대상 공격의 직접적인 결과로 인해 고객에게 발생한 모든 수수료를 의미합니다.
      • Google Cloud 부하 분산기 서비스의 인그레스 및 아웃바운드 데이터 처리
      • Google Cloud Armor 서비스의 Google Cloud Armor Enterprise 데이터 처리
      • 리전 간, 영역 간, 인터넷, 이동통신사 피어링 이그레스를 포함한 네트워크 이그레스
    • 최소 기준: Google에서 수시로 결정하며 요청에 따라 고객에게 공개된 대로 이 섹션에 따라 입금될 수 있는 최소 적용 수수료 금액을 의미합니다.

다음 단계